ProHoster > Blog > Internet Neiegkeeten > Systemd System Manager Verëffentlechung 249

Systemd System Manager Verëffentlechung 249

No dräi Méint Entwécklung gëtt d'Verëffentlechung vum Systemmanager systemd 249 presentéiert.Déi nei Verëffentlechung bitt d'Fäegkeet Benotzer / Gruppen am JSON-Format ze definéieren, stabiliséiert de Journal Protokoll, vereinfacht d'Organisatioun vun de successive Disk Partitionen, füügt d'Fäegkeet un Link BPF Programmer op Servicer, an implementéiert Identifizéierer Kaarte Benotzer a montéierte Partitionen, e groussen Deel vun neien Netzwierkastellungen a Méiglechkeete fir Container ze lancéieren ginn ugebueden.

Main Ännerungen:

  • De Journal Protokoll ass dokumentéiert a kann a Cliente benotzt ginn amplaz vum Syslog Protokoll fir lokal Liwwerung vu Logrecords. De Journal Protokoll gouf fir eng laang Zäit ëmgesat a gëtt schonn an e puer Client Bibliothéiken benotzt, awer seng offiziell Ënnerstëtzung ass just ugekënnegt ginn.
  • Userdb an nss-systemd bidden Ënnerstëtzung fir d'Liesen vun zousätzlech Benotzerdefinitiounen an den /etc/userdb/, /run/userdb/, /run/host/userdb/ an /usr/lib/userdb/ Verzeichnisser, spezifizéiert am JSON Format. Et gëtt bemierkt datt dës Feature en zousätzleche Mechanismus gëtt fir Benotzer am System ze kreéieren, et mat enger voller Integratioun mat NSS an /etc/shadow ubitt. JSON Ënnerstëtzung fir Benotzer / Grupp Entréen erlaabt och verschidde Ressource Gestioun an aner Astellungen ze Benotzer verbonnen datt pam_systemd an systemd-login erkenne.
  • nss-systemd bitt Synthese vu Benotzer-/Grupp-Entréen an /etc/shadow mat hashed Passwierder vu systemd-homed.
  • E Mechanismus gouf implementéiert, deen d'Organisatioun vun Updates vereinfacht mat Diskpartitionen, déi sech géigesäiteg ersetzen (eng Partition ass aktiv, an déi zweet ass Ersatz - den Update gëtt an d'Ersatzpartition kopéiert, duerno gëtt et aktiv). Wann et zwou Root- oder /usr-Partitionen am Disk Image sinn, an udev huet d'Präsenz vum 'root='-Parameter net entdeckt, oder veraarbecht Disk-Biller, déi iwwer d'--image-Optioun an der systemd-nspawn a systemd spezifizéiert sinn. -dissect Utilities, kann d'Bootpartition berechent ginn andeems Dir GPT Etiketten vergläicht (ugeholl datt de GPT Label d'Versiounsnummer vum Inhalt vun der Partition ernimmt an systemd wäert d'Partition mat de méi rezenten Ännerungen auswielen).
  • Eng BPFProgram-Astellung gouf op d'Servicedateien bäigefüügt, mat deenen Dir d'Luede vu BPF Programmer an de Kernel organiséiert an se verwalten mat Bindung zu spezifesche Systemdéngschter.
  • Systemd-fstab-generator a systemd-repart addéieren d'Fäegkeet fir vun Disken ze booten déi nëmmen eng / usr Partition hunn a keng Root Partition (d'Root Partition gëtt vum Systemd-repart wärend dem éischte Boot generéiert).
  • Am systemd-nspawn ass d'Optioun "--private-user-chown" duerch déi méi generesch "--private-user-ownership" Optioun ersat ginn, déi "chown" Wäerter als Äquivalent vun "-- akzeptéiere kann. private-user-chown", "off" fir al Astellung auszeschalten, "Kaart" fir Benotzer-IDen op montéierte Dateiesystemer ze mapen an "auto" fir "Kaart" ze wielen wann déi erfuerderlech Funktionalitéit am Kernel präsent ass (5.12+) oder zréckfalen zu engem rekursive Opruff "chown" soss. Mat Kartéierung kënnt Dir d'Dateien vun engem Benotzer op enger montéierter auslännescher Partition op en anere Benotzer um aktuellen System mapen, wat et méi einfach mécht Dateien tëscht verschiddene Benotzer ze deelen. Am systemd-homed portable Heemverzeichnismechanismus erlaabt d'Mapping d'Benotzer hir Heemverzeichnisser op extern Medien ze réckelen an se op verschiddene Computeren ze benotzen déi net deeselwechte User ID Layout hunn.
  • Am systemd-nspawn kann d'Optioun "--private-user" elo de Wäert "Identitéit" benotzen fir d'Benotzer IDen direkt ze reflektéieren wann Dir e Benotzernummraum opstellt, d.h. UID 0 an UID 1 am Container gëtt an UID 0 an UID 1 op der Provider Säit reflektéiert ginn, fir Attack Vecteure ze reduzéieren (de Container kritt nëmmen Prozess Kënnen a sengem Nummraum).
  • D'Optioun "--bind-Benotzer" gouf op systemd-nspawn bäigefüügt fir e Benotzerkont, deen am Host-Ëmfeld existéiert, op de Container weiderzebréngen (den Heemverzeichnis ass an de Container montéiert, e Benotzer-/Grupp-Entrée gëtt bäigefüügt, an UID-Mapping gëtt tëscht dem Container an dem Hostëmfeld duerchgefouert).
  • Ënnerstëtzung bäigefüügt fir gesat Passwuert fir systemd-ask-Passwuert a systemd-sysusers ze froen (passwd.hashed-password. an passwd.plaintext-Passwuert. ) benotzt de Mechanismus, deen am systemd 247 agefouert gouf, fir sensibel Donnéeën mat Hëllef vun Zwëschendateien an engem getrennten Verzeichnis sécher ze transferéieren. Par défaut ginn Umeldungsinformatiounen aus dem Prozess mat PID1 akzeptéiert, deen se kritt, zum Beispill vum Containermanagement Manager, wat Iech erlaabt d'Benotzerpasswuert beim éischte Boot ze konfiguréieren.
  • systemd-firstboot füügt Ënnerstëtzung fir de sécheren Transfer vu sensiblen Datemechanismus ze benotzen fir verschidde Systemparameter ze froen, déi kënne benotzt ginn fir Systemastellungen z'initialiséieren wann Dir e Containerbild fir d'éischt start, deen net déi néideg Astellungen am /etc Verzeichnis huet.
  • De PID 1 Prozess garantéiert datt souwuel den Eenheetsnumm wéi och d'Beschreiwung wärend dem Boot ugewise ginn. Dir kënnt d'Ausgab duerch den "StatusUnitFormat=combined" Parameter am system.conf änneren oder d'Kernel Kommandozeiloptioun "systemd.status-unit-format=combined"
  • D'Optioun "--image" gouf an d'Systemd-machine-id-Setup a Systemd-repart Utilities bäigefüügt fir eng Datei mat enger Maschinn ID op e Disk Image ze transferéieren oder d'Gréisst vun engem Disk Image ze vergréisseren.
  • E MakeDirectories-Parameter gouf an d'Partitionskonfiguratiounsdatei bäigefüügt, déi vum Systemd-repart Utility benotzt gëtt, déi benotzt ka ginn fir arbiträr Verzeichnisser am erstallten Dateiesystem ze kreéieren ier se an der Partitionstabelle reflektéiert ginn (zum Beispill fir Verzeichnisser fir Mountpunkten ze kreéieren an d'Root-Partition fir datt Dir d'Partition direkt am Read-only Modus montéiere kënnt). Fir GPT Fändelen an erstallt Sektiounen ze kontrolléieren, sinn déi entspriechend Fändelen, ReadOnly an NoAuto Parameteren bäigefüügt. De Parameter CopyBlocks huet e Wäert vun "auto" fir automatesch déi aktuell Bootpartition als Quell ze wielen wann Dir Blocks kopéiert (zum Beispill wann Dir Är eege Root-Partition op nei Medien transferéiere musst).
  • GPT implementéiert de "grow-file-system" Fändel, deen ähnlech wéi d'x-systemd.growfs Mount Optioun ass a bitt automatesch Expansioun vun der FS Gréisst un d'Grenze vum Blockapparat wann d'FS Gréisst méi kleng ass wéi d'Partition. De Fändel ass applicabel fir Ext3, XFS a Btrfs Dateisystemer, a kann op automatesch festgestallte Partitionen applizéiert ginn. De Fändel ass par défaut aktivéiert fir schrëftlech Partitionen automatesch iwwer Systemd-repart erstallt. D'Optioun GrowFileSystem gouf bäigefüügt fir de Fändel am systemd-repart ze konfiguréieren.
  • D'/etc/os-release Datei bitt Ënnerstëtzung fir nei IMAGE_VERSION an IMAGE_ID Variablen fir d'Versioun an d'ID vun atomesch aktualiséierte Biller ze bestëmmen. D'%M an% A Spezifizéierer gi proposéiert fir spezifizéierte Wäerter a verschidde Kommandoen ze ersetzen.
  • De Parameter "--Extension" gouf an d'Portablelectl Utility bäigefüügt fir portable Systemverlängerungsbiller z'aktivéieren (zum Beispill duerch si kënnt Dir Biller mat zousätzlech Servicer verdeelen, déi an der Root Partition integréiert sinn).
  • D'Systemd-Coredump Utility liwwert d'Extraktioun vun ELF Build-Id Informatioun wann Dir e Kärdump vun engem Prozess generéiert, wat nëtzlech ka sinn fir ze bestëmmen zu wéi engem Package e Feelerprozess gehéiert wann Informatioun iwwer den Numm an d'Versioun vun deb oder rpm Packagen gebaut gouf. an d'ELF Dateien.
  • Eng nei Hardware Basis fir FireWire (IEEE 1394) Apparater gouf op udev bäigefüügt.
  • Am udev sinn dräi Ännerungen am "net_id" Netzwierk Interface Numm Selektioun Schema bäigefüügt, déi Réckkompatibilitéit verletzen: falsch Zeechen an Interface Nimm ginn elo duerch "_" ersat; PCI Hotplug Slot Nimm fir s390 Systemer sinn an hexadecimal Form veraarbecht; D'Benotzung vu bis zu 65535 agebaute PCI-Geräter ass erlaabt (virdrun Zuelen iwwer 16383 goufen blockéiert).
  • systemd-resolved füügt den "home.arpa" Domain op d'NTA (Negative Trust Anchors) Lëscht, déi fir lokal Heemnetzwierker recommandéiert ass, awer net an DNSSEC benotzt.
  • De CPUAffinity Parameter liwwert Parsing vun den "%" Spezifizéierer.
  • E ManageForeignRoutingPolicyRules Parameter gouf zu .network Dateien bäigefüügt, déi benotzt kënne fir systemd-networkd aus der Veraarbechtung vun Drëtt Partei Routing Politiken auszeschléissen.
  • De RequiredFamilyForOnline-Parameter gouf an d'.Network-Dateien bäigefüügt fir d'Präsenz vun enger IPv4- oder IPv6-Adress ze bestëmmen als Zeechen datt d'Netzwierk-Interface am "Online"-Staat ass. Networkctl bitt e Display vum "Online" Status fir all Link.
  • Added OutgoingInterface Parameter zu .network Dateien fir erausgaang Interfaces ze definéieren wann Dir Netzwierkbrécke konfiguréiert.
  • E Gruppeparameter gouf op ".network" Dateien bäigefüügt, wat Iech erlaabt eng Multipath Grupp fir Entréen an der Rubrik "[NextHop]" ze konfiguréieren.
  • Zousätzlech Optiounen "-4" an "-6" op systemd-network-wait-online fir d'Verbindungswaart nëmmen op IPv4 oder IPv6 ze limitéieren.
  • E RelayTarget-Parameter gouf op d'DHCP-Server-Astellunge bäigefüügt, déi de Server an den DHCP Ralay-Modus schalt. Fir zousätzlech Konfiguratioun vum DHCP-Relais ginn d'Optiounen RelayAgentCircuitId a RelayAgentRemoteId ugebueden.
  • De ServerAddress-Parameter gouf op den DHCP-Server bäigefüügt, wat Iech erlaabt d'Server IP Adress explizit ze setzen (soss gëtt d'Adress automatesch ausgewielt).
  • Den DHCP-Server implementéiert d'[DHCPServerStaticLease] Sektioun, déi Iech erlaabt statesch Adressbindungen (DHCP-Leasen) ze konfiguréieren, fixe IP-Bindungen op MAC Adressen ze spezifizéieren a vice-versa.
  • D'RestrictAddressFamilies-Astellung ënnerstëtzt den "keen" Wäert, dat heescht datt de Service keen Zougang zu Sockets vun enger Adressfamill huet.
  • An den ".network" Dateien an de Sektiounen [Adress], [DHCPv6PrefixDelegation] an [IPv6Prefix] gëtt d'Ënnerstëtzung fir d'RouteMetric-Astellung ëmgesat, wat Iech erlaabt d'Metrik fir de Wee Präfix ze spezifizéieren fir déi spezifizéiert Adress erstallt.
  • nss-myhostname a systemd-resolved bidden Synthese vun DNS-Records mat Adressen fir Hosten mat engem speziellen Numm "_outbound", fir deen eng lokal IP ëmmer erausginn ass, gewielt am Aklang mat de Standardrouten, déi fir erausgaang Verbindungen benotzt ginn.
  • An .network-Dateien, an der Rubrik "[DHCPv4]" ass eng Standardaktiv RoutesToNTP-Astellung bäigefüügt, déi erfuerdert eng separat Streck duerch déi aktuell Netzwierk-Interface ze addéieren fir Zougang zu der NTP-Serveradress ze kréien, déi fir dësen Interface mat DHCP kritt gëtt (ähnlech wéi DNS) , d'Astellung erlaabt Iech ze garantéieren datt de Verkéier op den NTP-Server duerch d'Interface geréckelt gëtt, duerch déi dës Adress kritt gouf).
  • SocketBindAllow a SocketBindDeny Astellunge bäigefüügt fir den Zougang zu Sockets ze kontrolléieren déi un den aktuelle Service gebonnen sinn.
  • Fir Eenheetsdateien ass e bedingte Kader genannt ConditionFirmware ëmgesat ginn, wat Iech erlaabt Kontrollen ze kreéieren déi Firmwarefunktiounen evaluéieren, wéi d'Aarbecht op UEFI an device.tree Systemer, wéi och d'Kompatibilitéit mat bestëmmten Apparat-Baum-Fäegkeeten iwwerpréift.
  • Implementéiert d'ConditionOSRelease Optioun fir Felder an der /etc/os-release Datei ze kontrolléieren. Wann Dir Konditioune fir d'Kontroll vun Feldwäerter definéiert, sinn d'Bedreiwer "=", "!=", "<", "<=", ">=", ">" akzeptabel.
  • Am Hostnamectl Utility ginn Kommandoe wéi "get-xyz" an "set-xyz" vun de "get" an "set" Präfixe befreit, zum Beispill, amplaz "hostnamectl get-hostname" an "hostnamectl "set-hostname" Dir kënnt de Kommando "hostnamectl Hostname" benotzen, d'Zeeche vun engem Wäert an deem bestëmmt gëtt andeems en zousätzlech Argument spezifizéiert gëtt ("Hostnamectl Hostnumm Wäert"). Ënnerstëtzung fir eeler Kommandoen gouf behalen fir Kompatibilitéit ze garantéieren.
  • D'Systemd-Detect-Virt Utility an d'ConditionVirtualization Astellung garantéieren eng korrekt Identifikatioun vun Amazon EC2 Ëmfeld.
  • D'LogLevelMax-Astellung an Eenheetsdateien gëlt elo net nëmme fir Log-Messagen, déi vum Service generéiert ginn, awer och fir PID 1-Prozessmeldungen, déi de Service ernimmen.
  • Gitt d'Fäegkeet fir SBAT (UEFI Secure Boot Advanced Targeting) Daten an systemd-boot EFI PE Dateien ze enthalen.
  • /etc/crypttab implementéiert nei Optiounen "headless" a "Passwuert-Echo" - déi éischt erlaabt Iech all Operatiounen ze sprangen verbonne mat der interaktiver Ufro fir Passwierder a PINs vum Benotzer, an déi zweet erlaabt Iech d'Method fir d'Passwuertinput ze weisen (weist näischt, weist Charakter fir Charakter a weist Asterisken). D'Optioun "--echo" gouf op systemd-ask-Passwuert fir ähnlech Zwecker bäigefüügt.
  • systemd-cryptenroll, systemd-cryptsetup, a systemd-homed hunn d'Ënnerstëtzung erweidert fir verschlësselte LUKS2 Partitionen mat FIDO2 Tokens ze spären. Nei Optiounen bäigefüügt "--fido2-mat-Benotzer-Präsenz", "--fido2-mat-Benotzer-Verifizéierung" an "-fido2-mat-Client-Pin" fir Benotzer kierperlech Präsenz Verifizéierung, Verifizéierung an d'Noutwendegkeet ze kontrolléieren engem PIN Code.
  • Added "--user", "--system", "--merge" an "--file" Optiounen op systemd-journal-gatewayd, ähnlech wéi d'journalctl Optiounen.
  • Zousätzlech zu direkten Ofhängegkeeten tëscht Eenheeten, déi duerch d'OnFailure- a Slice-Parameter spezifizéiert sinn, ass Ënnerstëtzung fir implizit invers Ofhängegkeeten OnFailureOf a SliceOf bäigefüügt, wat nëtzlech ka sinn, zum Beispill, fir all Unitéiten ze bestëmmen déi am Slice abegraff sinn.
  • Nei Zorte vun Ofhängegkeeten tëscht Eenheeten bäigefüügt: OnSuccess an OnSuccessOf (de Géigendeel vun OnFailure, genannt op erfollegräich Ofschloss); PropagatesStopTo an StopPropagatedFrom (erlaabt Iech den Stop Event vun enger Eenheet op eng aner Eenheet ze propagéieren); Upholds an UpheldBy (Alternativ zum Restart).
  • D'Systemd-ask-Passwuert Utility huet elo eng "--emoji" Optioun fir d'Erscheinung vum Padlock Symbol (🔐) an der Passwuert Input Linn ze kontrolléieren.
  • Dobäi Dokumentatioun op systemd Quell Bam Struktur.
  • Fir Unitéiten ass e MemoryAvailable-Eegeschaft bäigefüügt, wat weist wéi vill Erënnerung d'Eenheet lénks huet ier se d'Limite erreecht, déi duerch d'MemoryMax, MemoryHigh oder MemoryAvailable Parameteren festgeluecht goufen.

Source: opennet.ru

Setzt e Commentaire